Комментарий эксперта
ISO 27701
Преамбулы
(61) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
(62) Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
(63) Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.
Руководство и прецедентное право
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(a) GDPR:
7.4.7 Хранение
Средство управления
Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.
Руководство по внедрению
Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.
…
Войти
для доступа к полному тексту